Udostępnij za pośrednictwem


Kerberos Authentication and SQL Server

Protokół Kerberos jest protokołem uwierzytelnianie sieciowego zapewnia bardzo bezpiecznej metoda do uwierzytelnianie klientów i serwerów obiektów (podmiotów zabezpieczeń) w sieci.Wystawcy zabezpieczeń korzystać z uwierzytelnianie, który jest oparty na klucze główne i szyfrowany bilety.

W Protokół Kerberos model protokołu, co połączenia klient serwer rozpoczyna się od uwierzytelnianie. Klient i serwer, z kolei kolejnych sekwencji akcji, aby sprawdzić firmy na obu końcach połączenia, czy strona po drugiej stronie jest oryginalna.Jeżeli uwierzytelnianie zakończyło się pomyślnie, zakończeniu sesji instalacji i jest ustanawiana sesja bezpieczne klient/serwer.

Wśród klucz korzyści wynikających z uwierzytelnianie Kerberos są:

  • Uwierzytelnianie wzajemne.Klient może sprawdzania tożsamości serwera głównego, a serwer można sprawdzić poprawności klienta.W całej tej dokumentacji dwoma obiektami nazywane są "klient" i "serwer", mimo że można ustanawiać połączenia sieci między serwerami.

  • Zabezpieczanie biletów uwierzytelnianie.Używane są tylko zaszyfrowane biletów i hasła nigdy nie są uwzględniane w bilecie.

  • Zintegrowane uwierzytelnianie.Gdy użytkownik jest zalogowany, on nie trzeba ponownie zalogować się do dostępu do każdej usłudze, która obsługuje uwierzytelnianie Kerberos, jak długo klient bilet nie wygasł.Każdy bilet jest okres istnienia klucza, który jest określony przez zasady obszaru Kerberos, który generuje bilet.

Kerberos oferuje mechanizm do wzajemnego uwierzytelnianie między obiektami, przed ustanowieniem połączenia sieci.Kerberos używa zaufanych strony trzeciej, Centrum dystrybucji kluczy (KDC), w celu ułatwienia generowania i bezpieczne dystrybucji biletów uwierzytelnianie i kluczy symetrycznych sesja.Centrum dystrybucji KLUCZY działa jako usługa na zabezpieczonym serwerze i obsługuje bazę danych dla wszystkich podmiotów zabezpieczeń swojego obszaru.W kontekście protokołu Kerberos obszar jest odpowiednikiem do domena systemu Windows.

Uwaga

Zabezpieczenia klucz głównego jest odpowiedzialny za klient i serwera, Centrum dystrybucji KLUCZY zapewnia tylko usługa udzielania biletu.

W środowisku systemu Windows działanie Centrum dystrybucji KLUCZY przyjęto, że przez kontroler domena i zazwyczaj używa usługi Active Directory.Wszyscy użytkownicy domena systemu Windows są faktycznie podmiotami Kerberos i są w stanie uwierzytelnianie Kerberos.

Kerberos z programem SQL Server

SQL Server Kiedy obsługuje protokół Kerberos pośrednio za pośrednictwem interfejs dostawca obsługi zabezpieczeń systemu Windows (SSPI) SQL Server jest przy użyciu uwierzytelnianie systemu Windows. SSPI pozwala aplikacji używać różnych modeli zabezpieczeń dostępnych na komputerze lub sieci bez wprowadzania zmian w interfejs do systemu zabezpieczeń.

SQL Server Umożliwia SSPI do negocjowania protokół uwierzytelnianie, aby użyć, jeśli nie można używać protokół Kerberos, system Windows powróci do uwierzytelnianie systemu Windows NT Challenge/Response (NTLM).

SQL Server 2008 obsługuje uwierzytelnianie Kerberos na następujących protokołów:

  • TCP/IP

  • Nazwane potoki

  • Pamięci współużytkowanej

Aby uzyskać więcej informacji na temat poprzednich protokołów zobacz Network Protocols and TDS Endpoints.

Zgodnie z zaleceniami dotyczącymi zaleca się korzystanie z uwierzytelnianie Kerberos w miarę możliwości dla połączenia z wystąpienie programu SQL Server.